IBM Cloud Docs
Connexion à un homologue Cisco ASAv

Connexion à un homologue Cisco ASAv

Vous pouvez utiliser IBM Cloud VPN for VPC pour connecter en toute sécurité votre VPC à un réseau sur site via un tunnel VPN. Cette rubrique explique comment configurer votre passerelle VPN Cisco ASAv pour la connexion à VPN for VPC.

Consultez la rubrique Limitations de la passerelle VPN avant de poursuivre la connexion à votre homologue sur site.

Connexion d'un VPN IBM basé sur des stratégies à un homologue Cisco ASAv

Cisco ASAv utilise IKEv2 lorsque vous possédez plusieurs sous-réseaux sur IBM VPC ou sur votre réseau sur site et sur votre unité VPN sur site. Vous devez créer une connexion VPN par paire de sous-réseaux sur une passerelle IBM VPN car Cisco ASAv crée une nouvelle association de sécurité (SA) par paire de sous-réseau.

Ces instructions reposent sur Cisco ASAv, Cisco Adaptive Security Appliance Software Version 9.10(1).

La première étape de configuration de Cisco ASAv pour utiliser VPN for VPC consiste à vous assurer que les conditions prérequises suivantes sont remplies :

  • Cisco ASAv est en ligne et fonctionnel avec une licence appropriée.
  • Un mot de passe pour Cisco ASAv est activé.
  • Il existe au moins une interface interne fonctionnelle configurée et vérifiée.
  • Il existe au moins une interface externe fonctionnelle configurée et vérifiée.

Quand un VPN Cisco ASAv reçoit une demande de connexion depuis VPN for VPC, il utilise les paramètres IKE de phase 1 pour établir une connexion sécurisée et s'authentifier auprès de VPN for VPC. Ensuite, si la stratégie de sécurité autorise la connexion, Cisco ASAv établit le tunnel à l'aide des paramètres IPsec Phase 2 et applique la règle de sécurité IPsec. Les services de gestion de clés, d'authentification et de sécurité sont négociés de manière dynamique via le protocole IKE.

Pour prendre en charge ces fonctions, les étapes de configuration générales suivantes doivent être effectuées sur le VPN Cisco ASAv :

  • Assurez-vous que l'adresse IP publique du Cisco ASAv est configurée directement sur l'ASAv. Utilisez crypto isakmp identity address pour vérifier que Cisco ASAv utilise l'adresse IP publique de l'interface comme identité.

    Ce paramètre global s'applique à toutes les connexions sur l'unité Cisco. Par conséquent, si vous devez gérer plusieurs connexions, définissez crypto isakmp identity auto à la place, pour vous assurer que l'unité Cisco détermine automatiquement l'identité par type de connexion.

  • La définition des paramètres de phase 1 requis par le VPN Cisco ASAv nécessite d'authentifier VPN for VPC et d'établir une connexion sécurisée.

  • La définition des paramètres de phase 2 requis par le VPN Cisco ASAv nécessite de créer un tunnel VPN avec VPN for VPC.

L'unité ASAv prend en charge les groupes d'objets pour la fonction ACL. Cette fonction étend les listes de contrôle d'accès classiques pour prendre en charge les listes de contrôle d'accès basées sur des groupes d'objets. Vous pouvez créer le groupe d'objets suivant selon vos sous-réseaux VPC et sous-réseaux locaux :

# define network object according to your VPC and on-premises subnet
object-group network on-premise-subnets
 network-object 172.16.0.0 255.255.0.0
object-group network ibm-vpc-zone3-subnets
 network-object 10.241.129.0 255.255.255.0
object-group network ibm-vpc-zone2-subnets
 network-object 10.240.64.0 255.255.255.0

Créez un objet de proposition IKE version 2. Les objets de proposition IKEv2 contiennent les paramètres requis pour la création de propositions IKEv2 lorsque vous définissez l'accès à distance et les politiques VPN de site à site. IKE est un protocole de gestion de clés qui facilite la gestion des communications basées sur IPsec. Il est utilisé pour authentifier les homologues IPsec, négocier et distribuer les clés de chiffrement IPsec et établir automatiquement des associations de sécurité (SA) IPsec.

Dans ce bloc, les paramètres suivants sont définis comme exemple. Vous pouvez choisir d'autres paramètres en fonction de la stratégie de sécurité de votre entreprise ; cependant, assurez-vous d'utiliser des paramètres identiques sur la passerelle IBM VPN et ASAv.

  • Algorithme de chiffrement - Défini sur aes-256 pour cet exemple.
  • Algorithme d'intégrité - Défini sur sha256 pour cet exemple.
  • Groupe Diffie-Hellman - IPsec utilise l'algorithme Diffie-Hellman pour générer la clé de chiffrement initiale entre les homologues. Dans cet exemple, il est défini sur le groupe 19.
  • Fonction PRF (Pseudo-Random Function) - IKEv2 nécessite une méthode distincte utilisée comme algorithme pour dériver le matériel de clé et les opérations de hachage requis pour le chiffrement du tunnel IKEv2. Il s'agit de la fonction pseudo-aléatoire et définie sur sha256.
  • Durée de vie SA - Définissez la durée de vie des associations de sécurité (après quoi une reconnexion se produit) à 36000 secondes.
crypto ikev2 policy 100
encryption aes-256
integrity sha256
group 19
prf sha256
lifetime seconds 36000
crypto ikev2 enable outside

Créez une politique IPsec pour la connexion. IKEv2 prend en charge plusieurs types d'authentification et de chiffrement, ainsi que plusieurs algorithmes d'intégrité pour une politique unique. ASAv ordonne les paramètres du « plus sécurisé » au « moins sécurisé » et négocie avec l'homologue dans cet ordre.

# Create IPsec policy, IKEv2 support multiple proposals
crypto ipsec ikev2 ipsec-proposal ibm-vpc-proposal
 protocol esp encryption aes-256
 protocol esp integrity sha-256

Créez la politique de groupe et le groupe de tunnels. L'adresse d'homologue et la clé pré-partagée sont configurées dans cette étape.

# Create VPN default group policy
group-policy ibm_vpn internal
group-policy ibm_vpn attributes
 vpn-tunnel-protocol ikev2

# Create the tunnel-group to configure pre-shared keys, 150.239.170.57 is public IP of IBM policy-based VPN gateway
tunnel-group 150.239.170.57 type ipsec-l2l
tunnel-group 150.239.170.57 general-attributes
 default-group-policy ibm_vpn
tunnel-group 150.239.170.57 ipsec-attributes
 ikev2 remote-authentication pre-shared-key <your pre-shared key>
 ikev2 local-authentication pre-shared-key <your pre-shared key>

Créez une liste de contrôle d'accès pour faire correspondre le trafic sur site au VPC. Pour le trafic du VPC vers le site, ASAv utilise l'interface SPI pour consulte le sélecteur de trafic. Assurez-vous que les deux côtés utilisent un sélecteur de circulation correspondant.

access-list outside_cryptomap_ibm_vpc_zone2 extended permit ip object-group on-premise-subnets object-group ibm-vpc-zone2-subnets

Créez une carte de chiffrement pour regrouper les différents éléments du tunnel VPN et l'activer sur l'interface externe. 150.239.170.57 est l'adresse IP publique de la passerelle VPN IBM basée sur les stratégies.

crypto map ibm_vpc 1 match address outside_cryptomap_ibm_vpc_zone2
crypto map ibm_vpc 1 set peer 150.239.170.57
crypto map ibm_vpc 1 set ikev2 ipsec-proposal ibm-vpc-proposal
crypto map ibm_vpc 1 set pfs group19
crypto map ibm_vpc interface outside

S'il existe des règles NAT sur les périphériques ASAv, vous devez exclure le trafic sur le réseau privé virtuel des règles NAT.

nat (inside,outside) source static on-premise-subnets on-premise-subnets destination static ibm-vpc-zone2-subnets ibm-vpc-zone2-subnets

Configurez l'ajustement TCP MSS sur ASAv afin d'éviter une fragmentation inutile :

sysopt connection tcpmss 1360

Connexion d'un VPN IBM statique basé sur des routes à un homologue Cisco ASAv

Ces instructions reposent sur Cisco ASAv, Cisco Adaptive Security Appliance Software Version 9.10(1).

La première étape de configuration de Cisco ASAv pour utiliser VPN for VPC consiste à vous assurer que les conditions prérequises suivantes sont remplies :

  • Cisco ASAv est en ligne et fonctionnel avec une licence appropriée.
  • Un mot de passe pour Cisco ASAv est activé.
  • Il existe au moins une interface interne fonctionnelle configurée et vérifiée.
  • Il existe au moins une interface externe fonctionnelle configurée et vérifiée.

Quand un VPN Cisco ASAv reçoit une demande de connexion depuis VPN for VPC, il utilise les paramètres IKE de phase 1 pour établir une connexion sécurisée et s'authentifier auprès de VPN for VPC. Ensuite, si la stratégie de sécurité autorise la connexion, l'unité Cisco ASAv établit le tunnel en utilisant les paramètres IPsec de phase 2 et applique la stratégie de sécurité IPsec. Les services de gestion de clés, d'authentification et de sécurité sont négociés de manière dynamique via le protocole IKE.

Pour prendre en charge ces fonctions, les étapes de configuration générales suivantes doivent être effectuées sur le VPN Cisco ASAv :

  • Assurez-vous que l'adresse IP publique du Cisco ASAv est configurée directement sur l'ASAv. Utilisez crypto isakmp identity address pour vérifier que Cisco ASAv utilise l'adresse IP publique de l'interface comme identité.

    Ce paramètre global s'applique à toutes les connexions sur l'unité Cisco. Par conséquent, si vous devez gérer plusieurs connexions, définissez crypto isakmp identity auto à la place pour vous assurer que l'unité Cisco détermine automatiquement l'identité par type de connexion.

  • La définition des paramètres de phase 1 requis par le VPN Cisco ASAv nécessite d'authentifier VPN for VPC et d'établir une connexion sécurisée.

  • La définition des paramètres de phase 2 requis par le VPN Cisco ASAv nécessite de créer un tunnel VPN avec VPN for VPC.

Créez un objet de proposition IKE version 2. Les objets de proposition IKEv2 contiennent les paramètres requis pour la création de propositions IKEv2 lorsque vous définissez l'accès à distance et les politiques VPN de site à site. IKE est un protocole de gestion de clés qui facilite la gestion des communications basées sur IPsec. Il est utilisé pour authentifier les homologues IPsec, négocier et distribuer les clés de chiffrement IPsec et établir automatiquement les associations de sécurité (SA) IPsec.

Dans ce bloc, les paramètres suivants sont définis comme exemple. Vous pouvez choisir d'autres paramètres en fonction de la stratégie de sécurité de votre entreprise ; cependant, assurez-vous d'utiliser des paramètres identiques sur la passerelle IBM VPN et ASAv.

  • Algorithme de chiffrement - Défini sur aes-256 pour cet exemple.
  • Algorithme d'intégrité - Défini sur sha256 pour cet exemple.
  • Groupe Diffie-Hellman - IPsec utilise l'algorithme Diffie-Hellman pour générer la clé de chiffrement initiale entre les homologues. Dans cet exemple, il est défini sur le groupe 19.
  • Fonction PRF (Pseudo-Random Function) - IKEv2 nécessite une méthode distincte utilisée comme algorithme pour dériver le matériel de clé et les opérations de hachage requis pour le chiffrement du tunnel IKEv2. Il s'agit de la fonction pseudo-aléatoire et définie sur sha256.
  • Durée de vie SA - Définissez la durée de vie des associations de sécurité (après quoi une reconnexion se produit) à 86400 secondes.
crypto ikev2 policy 100
 encryption aes-256
 integrity sha256
 group 19
 prf sha256
 lifetime seconds 86400
crypto ikev2 enable outside

Créez un profil IPsec pour l'interface de tunnel virtuel (VTI). Le profil fait référence à la proposition IPsec et VTI fait référence au profil. Vérifiez que la passerelle IBM VPN et ASAv utilisent des paramètres IPsec et des paramètres de profil IPsec identiques.

crypto ipsec ikev2 ipsec-proposal ibm-ipsec-proposal
 protocol esp encryption aes-256
 protocol esp integrity sha-256
crypto ipsec profile ibm-ipsec-profile
 set ikev2 ipsec-proposal ibm-ipsec-proposal
 set pfs group19
 set security-association lifetime kilobytes unlimited
 set security-association lifetime seconds 3600
 responder-only

Créez le groupe de tunnel dans le tunnel principal IBM. L'adresse de l'homologue 169.59.210.199 est la petite adresse IP publique de la passerelle VPN IBM basée sur les routes et la clé pré-partagée doit être la même que la passerelle VPN IBM basée sur les routes. Pour plus d'informations sur la petite adresse IP publique, voir cet avis important.

tunnel-group 169.59.210.199 type ipsec-l2l
tunnel-group 169.59.210.199 ipsec-attributes
 ikev2 remote-authentication pre-shared-key <your-pre-shared-key>
 ikev2 local-authentication pre-shared-key <your-pre-shared-key>

Créez l'interface de tunnel virtuel et configurez l'adresse locale de liaison (169.254.0.2/30) sur l'interface. Veillez à choisir l'adresse locale de liaison et assurez-vous qu'elle ne se chevauchent pas avec d'autres adresses sur le périphérique. Il existe deux adresses IP disponibles (169.254.0.1 et 169.254.0.2) dans un sous-réseau avec un masque de réseau de 30 bits. La première adresse IP 169.254.0.1 est utilisée comme adresse VTI de la passerelle IBM VPN ; la seconde, 169.254.0.2, est utilisée comme adresse VTI ASAv. Si vous avez plusieurs VTI sur l'ASAv, vous pouvez choisir un autre sous-réseau local de liaison, tel que 169.254.0.4/30, 169.254.0.8/30, etc.

Il n'est pas nécessaire de configurer 169.254.0.1 sur la passerelle IBM VPN. Il est référencé uniquement lorsque vous configurez les routes sur l'ASAv.

interface Tunnel1
 nameif ibm-gateway-primary-tunnel
 no shutdown
 ip address 169.254.0.2 255.255.255.252
 tunnel source interface outside
 tunnel destination 169.59.210.199
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ibm-ipsec-profile
!

Ajoutez une route à l'ASAv. La destination 10.240.65.0 est le sous-réseau IBM VPC et le tronçon suivant est l'adresse VTI de la passerelle IBM VPN. La longueur d'itinéraire est 1.

route ibm-gateway-primary-tunnel 10.240.65.0 255.255.255.0 169.254.0.1 1

Créez le groupe de tunnel dans le tunnel secondaire IBM. L'adresse de l'homologue 169.59.210.200 est la grande adresse IP publique de la passerelle VPN IBM basée sur les routes, et la clé pré-partagée doit être la même que la passerelle VPN IBM basée sur les routes. Pour plus d'informations sur la grande adresse IP publique, voir cet avis important.

tunnel-group 169.59.210.200 type ipsec-l2l
tunnel-group 169.59.210.200 ipsec-attributes
 ikev2 remote-authentication pre-shared-key <your-pre-shared-key>
 ikev2 local-authentication pre-shared-key <your-pre-shared-key>
!

Créez l'interface de tunnel virtuel et configurez l'adresse locale de liaison (169.254.0.6/30) sur l'interface. Veillez à choisir l'adresse locale de liaison et assurez-vous qu'elle ne se chevauchent pas avec d'autres adresses sur le périphérique. Il existe deux adresses IP disponibles (169.254.0.5 et 169.254.0.6) dans un sous-réseau avec un masque de réseau de 30 bits. La première adresse IP 169.254.0.5 est utilisée comme adresse VTI de la passerelle IBM VPN ; la seconde, 169.254.0.6, est utilisée comme adresse VTI ASAv. Si vous avez plusieurs VTI sur l'ASAv, vous pouvez choisir un autre sous-réseau local de liaison, tel que 169.254.0.0/30, 169.254.0.8/30, etc.

Il n'est pas nécessaire de configurer 169.254.0.5 sur la passerelle IBM VPN. Il est référencé uniquement lorsque vous configurez les routes sur l'ASAv.

interface Tunnel2
 nameif ibm-gateway-secondary-tunnel
 no shutdown
 ip address 169.254.0.6 255.255.255.252
 tunnel source interface outside
 tunnel destination 169.59.210.200
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ibm-ipsec-profile
!

Ajoutez une route à l'ASAv. La destination 10.240.65.0 est le sous-réseau IBM VPC et le tronçon suivant est l'adresse VTI secondaire de la passerelle IBM VPN. La longueur d'itinéraire est 10.

route ibm-gateway-secondary-tunnel 10.240.65.0 255.255.255.0 169.254.0.5 10

Configurez l'ajustement TCP MSS sur ASAv afin d'éviter une fragmentation inutile :

sysopt connection tcpmss 1360